個人情報の流出
会社経営をする際に、個人情報の流出リスクは避けて通ることはできません。
どんな会社であれ、たとえ個人事業者であっても、よほど特殊なビジネスモデルで無い限り、大漁の個人情報を取り扱うことになります。
個人情報保護法でいうところの個人情報の定義は極めて広汎で、どんな些細な情報であっても、個人情報としてみなされてしまいます。
(詳しくは、姉妹サイト
秘密保持契約書の達人の
秘密情報の定義を参照。)
たとえ、取引先が企業であっても、その担当者の情報は、立派な個人情報です。
また、自社の従業員の情報も、個人情報ということになります。
当然、一般消費者を相手にビジネスを展開する場合は、その情報は、個人情報です。
個人情報が流出してしまうと、いろんな損害を被ることになります。
顧客の流出やブランド価値の低下、それに伴う新規顧客の開拓が困難になることなど、ビジネスの展開そのものに重大な支障をきたしてしまいます。
さらに、流出してしまった個人情報のオーナーから、損害賠償請求をされてしまう可能性すらありえます。
これが、金額的には、最も多いリスクと言えるでしょう。
個人情報は、流出してしまっただけで、たとえそれが悪用されなかった場合でも、また、流出後に拡散してしまわないようにそれを回収できたとしても、流出させてしまった者は、損害賠償責任を負うことになります。
つまり、
「個人情報の流出=損害賠償責任」ということです。
しかも、その個人情報が、住民基本台帳に記載されている、つまり、原則として公開されているような、ごく基本的な個人情報(氏名・住所・生年月日・性別)であったとしても、損害賠償責任を負うことになります。
その額、一人当たり、最低でも
10,000円です。
(最高裁第一小法廷判決平成14年7月11日)
ひとりやふたりくらいの個人情報が流出したような事態であれば、それほど負担は多くはありません。
ですが、個人情報というのは、通常、データベースからゴッゾリと流出してしまうものです。
100件や1,000件、場合によっては10,000件を超えるような個人情報が流出してしまうこともあります。
それだけの個人情報のオーナーが、全員訴訟を起こして損害賠償請求をおこなうことはまずありえません。
ただ、例えば10,000件の情報流出があった場合に、集団訴訟という形で1,000人の人が訴訟を起こしてくれば、それだけで1000万円が吹っ飛んでいきます。
このようなリスクを抑えるために、大手企業では、情報流出があった場合に、500〜1,000円の商品券を送付して、訴訟が起こらないように対応しているくらいです。
例えば、2004年2月24日に発覚した、ソフトバンクBBによる660万件もの個人情報流出事件では、その個人情報のオーナーすべてに500円分の商品券を送付しています。
商品券の代金だけも、実に33億円の金額になります。
個人情報の流出によるリスクには、これだけの対応をしなければならないということです。
(なお、情報漏洩のリスクについては、詳しくは姉妹サイト
秘密保持契約書の達人を参照してください。)